Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

Formation

Certification ISO 27005 – Risk Manager

Ce cours permet aux participants de développer les compétences pour la maîtrise des éléments de base de la gestion des risques de sécurité de l´information en utilisant la norme ISO/IEC 27005 comme cadre de référence. A partir d’exercices pratiques et d’études de cas, les participants pourront acquérir les aptitudes et compétences nécessaires pour réaliser une évaluation optimale du risque de la sécurité de l’information et de gérer le risque dans le temps en étant familier à leur cycle de vie. Cette formation s’inscrit parfaitement dans le cadre d’un processus de mise en œuvre de la norme ISO/IEC 27001.

Si vous souhaitez suivre cette formation à distance, cliquez sur le bouton « Distanciel » pour découvrir le programme.

Objectifs pédagogiques

  • Comprendre les concepts, approches, méthodes et techniques permettant une gestion efficace du risque selon l’ISO 27005
  • Interpréter les exigences d’ISO 27001 concernant la gestion du risque afin de comprendre la relation entre un système de management de la sécurité de l’information, des mesures de sécurité, et la conformité aux exigences des différentes parties prenantes d’une organisation
  • Acquérir les compétences pour mettre en œuvre, maintenir et gérer un programme continu de gestion du risque dans la sécurité de l´information
  • Acquérir les compétences pour conseiller efficacement une organisation sur les meilleures pratiques en gestion du risque dans la sécurité de l’information

Programme

Jour 1 : Introduction, programme de gestion du risque, identification et analyse du risque selon ISO 27005
  • Concepts et définitions liés à la gestion du risque
  • Normes, cadres de référence et méthodologies en gestion du risque
  • Mise en œuvre d’un programme de gestion du risque dans la sécurité de l´information
  • Analyse du risque (Identification et estimation)
Jour 2 : Évaluation du risque, traitement, acceptation selon ISO 27005
  • Évaluation du risque
  • Traitement du risque
  • Acceptation du risque dans la sécurité de l’information et gestion du risque résiduel
Jour 3 : Les fonctions transverses de la gestion des risques et autres méthodologies
  • Communication du risque dans la sécurité de l’information
  • Surveillance et contrôle du risque dans la sécurité de l’information
  • Panorama des méthodologies existantes (dont Ebios)
  • Bilan et examen

Evaluation des acquis

L’examen « PECB Certified ISO/IEC 27005 Risk Manager » se tient le 3ème jour de formation et dure 2 heures. L’examen couvre les domaines suivants :

  • Domaine 1 : Principes et concepts fondamentaux, méthodes et techniques de la gestion du risque
  • Domaine 2 : Mise en œuvre d´un programme de gestion des risques
  • Domaine 3 : Analyse du risque dans la sécurité de l´information selon ISO 27005

Les plus de la formation

Cette formation est basée sur l’alternance de temps théoriques et de pratiques :

  • Cours magistral illustré avec des exemples issus de cas réels
  • Exercices en classe pour aider à la préparation de l’examen
  • Tests pratiques analogues à l’examen de certification
  • Afin de préserver la bonne réalisation des exercices pratiques, le nombre de participants à la formation est limité.

Public

  • Gestionnaires de risques
  • Personnes responsables de la sécurité de l’information ou de la conformité au sein d’une organisation
  • Membre d’une équipe de sécurité de l’information
  • Consultants en technologie de l’information
  • Personnel de la mise en œuvre de la norme ISO 27001 ou cherchant à s’y conformer ou participant à un programme de gestion du risque

Prérequis

  • Connaissances générales des systèmes d’information​
  • Connaissances générales en sécurité des systèmes d’information​
  • Connaissances générales en gestion des risques

Modalités et délai d’accès

Le stagiaire est considéré inscrit lorsque :

  • Les prérequis et besoins sont identifiés et validés
  • La convention de formation signée

Les demandes d’inscription peuvent être envoyées jusqu’à 10 jours ouvrés avant le début de la formation

Accessibilité

Que vous soyez reconnu en situation de handicap ou pas, rendre notre formation accessible à toutes et à tous fait partie de notre engagement.

Si vous avez besoin d’une compensation ou adaptation pour le contenu, les supports, le « lieu », le matériel utilisé, les horaires, le rythme, nous sommes à votre écoute.

Pour aller plus loin

Cette formation permet de préparer la formation suivante :

 
 

Durée

3 jours (19 heures)

Tarif

2300€ HT

Repas

Matin & midi compris

Financement

Prise en charge OPCO

Objectifs pédagogiques

  • Comprendre les concepts, approches, méthodes et techniques permettant une gestion efficace du risque selon l’ISO 27005
  • Interpréter les exigences d’ISO 27001 concernant la gestion du risque afin de comprendre la relation entre un système de management de la sécurité de l’information, des mesures de sécurité, et la conformité aux exigences des différentes parties prenantes d’une organisation
  • Acquérir les compétences pour mettre en œuvre, maintenir et gérer un programme continu de gestion du risque dans la sécurité de l´information
  • Acquérir les compétences pour conseiller efficacement une organisation sur les meilleures pratiques en gestion du risque dans la sécurité de l’information

Programme

Session 1

Section 1 : Objectifs et structure de la formation

  • Objectifs de la formation
  • Examen et certification

Section 2 : Cadres normatifs et réglementaires

  • Le modèle ISO
  • Le cadre normatif
  • Cadre de gestion des risques ISO 27005
  • D’autres normes liées à la sécurité de l’information
  • ISO 31000 et IEC 31010
  • Exercice 1 : Mythes et réalités – Gestion des risques
  • Se préparer

Session 2

Section 3 : Concepts et définitions du risque

  • Concepts et définitions du risque
  • Sécurité de l’information
  • Risques en sécurité de l’information
  • Principes et avantages de management du risque
  • Exercice 2 : Gestion des risques

Section 4 : Programme de gestion des risques

  • Leadership et l’engagement
  • Responsabilités en matière de gestion des risques
  • Mesures d’imputabilité
  • Politiques et processus de gestion des risques
  • Méthodologie en matière d’appréciation des risques
  • Planification des activités d’appréciation des risques
  • Mise à disposition des ressources.
  • Exercice 3 : Ressources

Session 3

Section 5 : Établissement du contexte

  • Compréhension de l’organisme et à son contexte
  • Établissement du contexte interne et externe
  • Identification et analyse des parties prenantes
  • Détermination des objectifs
  • Détermination des critères de base
  • Détermination du domaine d’application et des limites
  • Exercice 4 : Établir le contexte

Session 4 : Appréciation des risques

Section 6 : Identification des risques

  • Techniques de collecte de l’information
  • Identification des actifs primordiaux et actifs en support
  • Exercice 5 : Identification des actifs
  • Identification des menaces
  • Identification des mesures de sécurité existantes
  • Identification des vulnérabilités et des conséquences
  • Les menaces, les vulnérabilités et les mesures de sécurité
  • Les conséquences
  • Exercice 6 : Identification des menaces, vulnérabilités et impact

Section 7 : Analyse des risques

  • Méthodologie d’analyse des risques
  • Appréciation des conséquences
  • Appréciation de la vraisemblance d’un incident
  • Estimation du niveau de risque
  • Exercice 7 : Feuille de travail sur le risque lié aux actifs informationnels

Session 5

Section 8 : Évaluation des risques

  • Évaluation des niveaux de risques en fonction des critères d’évaluation
  • Exemple d’une appréciation de risque

Section 9 : Appréciation des risques à l’aide d’une méthode quantitative

  • Concept de ROSI
  • Le calcul de l’estimation de perte annuelle (EPA)
  • Le calcul de la valeur d’une mesure de sécurité
  • Exercice 8 : Appréciation quantitative des risques

Section 10 : Traitement des risques

  • Processus de traitement des risques
  • Options de traitement des risques
  • Plan de traitement des risques
  • Évaluation des risques résiduels

Session 6

Section 11 : Acceptation des risques en sécurité de l’information

  • Acceptation du plan de traitement des risques
  • Acceptation du risque résiduel
  • Exercice 9 : Options de traitement des risques

Section 12 : Communication et concertation relatives aux risques en sécurité de l’information

  • Objectifs de communication des risques
  • Plan de communication de risques
  • La communication interne et externe
  • Enregistrement des décisions et la communication
  • Exercice 10 : Communication des risques

Session 7

  • Section 13 : Surveillance et réexamen des risques en sécurité de l’information
  • Section 14 : Méthode OCTAVE
  • Section 15 : Méthode MEHARI
  • Section 16 : Méthode EBIOS
  • Section 17 : Méthode harmonisée d’évaluation des menaces et des risques (EMR)
  • Section 18 : Processus de certification et clôture de la formation

Session 8

  • Révisions​

Planning de principe

  • 14h de cours avec le formateur réparties en 8 sessions de 1H30 à 2H00 (dont une session de révision pour l’examen)

    • 4 sessions d’1H30

    • 4 sessions de 2H

Lundi
Mardi
Mercredi
Jeudi
Vendredi
Semaine 1
Session 1
Session 2
Session 3
Session 4
Semaine 2
Session 5
Session 6
Session 7
Session 8

Évaluation des acquis

L’examen « PECB Certified ISO/IEC 27005 Risk Manager » se tient dans un créneau choisi par le candidat parmi plusieurs propositions, dans un délai maximum d’un an après- la formation ; il dure 2 heures et est composé de QCU. L’examen couvre les domaines de compétences suivants :

  • Domaine 1 : Principes et concepts fondamentaux de la gestion des risques liés à la sécurité de l’information
  • Domaine 2 : Mise en œuvre d’un programme de gestion des risques liés à la sécurité de l’information
  • Domaine 3 : Cadre et processus de gestion des risques liés à la sécurité de l’information basés sur la norme ISO/CEI 27005
  • Domaine 4 : Autres méthodes d’évaluation des risques liés à la sécurité de l’information

Les plus de la formation à distance

  • Une formation dispensée par un expert en cybersécurité
  • Une plateforme intuitive et facile d’utilisation
  • Des moments d’échange sur des concepts clés et partages d’expérience adaptés au contexte des apprenants
  • Une pédagogie de formation adaptée à tous les profils d’apprentissage
  • La structure des questionnaires est semblable à celle de l’examen de certification

Public

  • Gestionnaires de risques
  • Personnes responsables de la sécurité de l’information ou de la conformité au sein d’une organisation
  • Membre d’une équipe de sécurité de l’information
  • Consultants en technologie de l’information
  • Personnel de la mise en œuvre de la norme ISO 27001 ou cherchant à s’y conformer ou participant à un programme de gestion du risque

Prérequis

  • Connaissances générales des systèmes d’information​
  • Connaissances générales en sécurité des systèmes d’information​
  • Connaissances générales en gestion des risques

Modalités et délai d’accès

Le stagiaire est considéré inscrit lorsque :

  • Les prérequis et besoins sont identifiés et validés
  • La convention de formation signée

Les demandes d’inscription peuvent être envoyées jusqu’à 10 jours ouvrés avant le début de la formation

Accessibilité

Que vous soyez reconnu en situation de handicap ou pas, rendre notre formation accessible à toutes et à tous fait partie de notre engagement.

Si vous avez besoin d’une compensation ou adaptation pour le contenu, les supports, le « lieu », le matériel utilisé, les horaires, le rythme, nous sommes à votre écoute.

Pour aller plus loin

Cette formation permet de préparer les formations suivantes :

  • Formation certifiante EBIOS Risk Manager

Durée

21 heures

Tarif

1950€ HT

Financement

Prise en charge OPCO

Télécharger la fiche de formation au format pdf

Vous souhaitez plus d'information ?

+33 (0)2 55 59 01 11

Almond s’engage à ce que la collecte et le traitement de vos données, effectués à partir du site https://www.almond.eu/ soient conformes au règlement général sur la protection des données (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée, relative à la protection des données à caractère personnel. Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé par Almond, afin de répondre aux demandes d’informations. Vous pouvez accéder aux données vous concernant, demander leur rectification ou leur effacement. Vous disposez également d'un droit d’opposition, et d’un droit à la limitation du traitement de vos données (cf. cnil.fr pour plus d’informations sur vos droits). Vous pouvez exercer vos droits en contactant le Référent Données à caractère personnel d'Almond à l’adresse suivante : [email protected]. Vos données seront conservées au sein de l’Union européenne, conformément à la réglementation en vigueur.